Pensata per rendere il processo di raccolta dei campioni per i test più rapido e sicuro per gli operatori sanitari impegnati in prima linea è resa disponibile gratuitamente. Ce ne parla Maurizio Costa, Sales Manager Italy di Scandit
La fase due della pandemia COVID19 è caratterizzata in Italia e all’estero da una crescente domanda di test in mobilità. Ne consegue la necessità di snellimento del processo di analisi dei documenti e raccolta campioni per rendere sicure ed efficienti le diverse fasi del test. La società Scandit che si occupa di tecnologie di computer vision e di scansione mobile dei codici a barre, ha creato un’applicazione gratuita, dal nome Patient Data Capture, utilizzabile dai laboratori di analisi e dagli operatori sanitari.
Ne abbiamo parlato con Maurizio Costa, Sales Manager Italy di Scandit per comprendere meglio le caratteristiche dell’App e gli aspetti di Privacy e security.
Può raccontarci l’applicazione Patient Data Capture e cosa permette di fare?
Premetto che Scandit produce librerie software integrabili per chi sviluppa app e seguiamo il software life cycle ent to end. In questo caso invece abbiamo prodotto un’app come nostro contributo per dare una mano concretamente ad aziende e imprese sanitarie che devono gestire l’emergenza, in modo da supportarle a ridurne l’impatto. L’app riduce al minimo il contatto tra le persone, da un lato gli operatori delle strutture sanitarie e dall’altro le persone che si sottopongono al test sierologico epidemiologico. Siamo partiti dai documenti standard americani che usano il bar code per l’identificazione della persona/paziente per poi abbinare il codice bar code della provetta relativa al campione della persona/paziente stesso. Tramite l’app gli operatori sanitari scansionano il codice presente sul documento della persona da sottoporre al test, scansionano il codice a barre sul campione prelevato per associarlo alla persona, e poi stampano o esportano i dati così acquisiti. Questo approccio senza contatto evita la necessità di dover maneggiare documenti di identità o di acquisire i dati manualmente ed elimina gli errori di inserimento dei dati. Il dato viene reso disponibile per condivisioni via mail o altri supporti e non viene memorizzato dall’app stessa. In questo senso l’app effettua una gestione del dato istantaneo senza memorizzare nulla. L’app può essere utilizzata su dispositivi mobile di proprietà dell’ospedale o del personale e non richiede alcuna integrazione. L’applicazione unisce il riconoscimento del testo e la scansione dei codici a barre per acquisire i dati delle carte d’identità e dei passaporti con zone a lettura ottica (Machine Readable Zone, MRZ), e delle patenti di guida statunitensi e canadesi – utilizzando il codice a barre PDF417 presente sul retro. Un video del suo funzionamento è stato reso disponibile sul canale youtube.
Che requisiti minimi del device mobile sono necessari?
Non c’e’ alcun particolare requisito. L’app è adatta sia per IOS e Android. Il lettore di bar code costituisce proprio il core del codice dell’app per il riconoscimento dei codici e l’interpretazione dei metadati letti dai documenti e dalle provette.
Dove si scarica l’app e se sono previsti costi connessi?
L’app è scaricabile dagli store ufficiali App Store, Google Play. Una volta scaricata esiste un QR code di abilitazione che usa lo standard interno Scandit di autenticazione ed è a prova di effrazione digitale o misuse perché il QR code che l’app si aspetta è generato dai nostri sistemi. Non appena il codice è ricevuto dall’app non si effettua una esecuzione di codice verso un sito, ma si interpellano direttamente i nostri sistemi per la verifica di congruenza. Questo inficia e impedisce la possibilità di frodi. L’app è scaricabile gratuitamente per tutto il periodo di crisi e comunque fino a settembre poi potremo decidere una proroga.
L’applicazione è stata sottoposta a valutazioni di sicurezza come secure code review o scansione di vulnerabilità?
L’app è basata su SDK (software development kit) e risponde ai nostri standard interni di sviluppo e gestione del ciclo di vita del software. In questo ciclo sono previsti sempre sia il secure code review sia le revisioni periodiche per le vulnerabilità.
Esiste la possibilità di bar code malevoli che intercettati dall’app possano portare a problemi di sicurezza e privacy dei dati trattati, un po’ come avviene per i QR code malevoli?
Non abbiamo mai incontrato Bar code malevoli in tanti anni che facciamo scansioni con questo standard. Ma sono diversi dai QR code perché questi ultimi possono chiamare direttamente un sito malevolo mentre i Bar code no. Nei bar code e specialmente in quelli che usano lo standard PDF417 il bar code è bidimensionale e presenta dati strutturati in un modo ben definito. Secondo lo standard è possibile normalizzare i dati secondo la loro struttura. Quindi, anche se venisse infilato un dato malevolo sapremmo intercettarlo durante l’interpretazione dei dati.
Poichè l’app tratta dati personali, che requisiti di data protection avete implementato in ottica di compliance al GDPR per il trattamento dei dati personali e sensibili?
L’app effettua lettura e interpretazione dei dati ma le info raccolte tramite la scansione sono gestite solo in variabili di programma non registrate in alcun archivio, quindi volatili in caso di spegnimento o reset del device o dell’applicazione. In particolare, non ci sono chiamate REST o trasmissioni di dati esterni al device. Le informazioni non sono memorizzate in nessun archivio né locale nè tantomeno trasmesso all’esterno del device. L’app è come un taccuino ma digitale. Noi rendiamo solo disponibili questi dati acquisiti subito dopo il momento dell’acquisizione.
Poiché ci ha spiegato che i dati acquisiti possono essere stampati o esportati esiste trattamento secondo l’accezione del GDPR. Come sono resi sicuri questi dati ed in particolare sono crittografati?
L’app li acquisisce e li confronta per raccordarli fra i bar code della provetta e il documento del paziente. I dati così acquisiti restano in variabili di programma e non sono memorizzati stabilmente, quindi non è necessaria la crittografia perché il dato non permane nell’app. Nel momento in cui sono acquisiti è possibile inviarli ad una stampa ma questo avviene esternamente all’app, ovvero dipende dal singolo device in uso e dalle app che comprende. In questo senso la sicurezza dipende dal livello di protezione del singolo device.
Posso dirle che per la sicurezza del ciclo di vita del codice seguiamo le normative per le SDK ed abbiamo aggiunto la compliance alle norme HIPAA (Health Insurance Portability and Accountability Act) per la riservatezza dei dati sanitari. Inoltre, stiamo per certificarci iso2700 per il centro R&S di Varsavia, che rappresenta il perimetro di certificazione. Abbiamo poi un altro centro R&S a Tampere in Finlandia e l’headquarter a Zurigo .
Poiché siete partiti dal suolo americano e canadese che prevede documenti con il Bar code cosa può dirci dell’applicabilità qui in Italia?
Stiamo inserendo altri standard ed in particolare l’MRZ che rappresenta lo standard in Italia di passaporti e CIE di nuova concezione. Non trattiamo i documenti che non presentano un codice identificativo secondo gli standard Bar Code o MRZ.
